Hálózatok általános

Mail proxy több domainel

Üdv!

E-mail szerver elé szeretnék egy nginx -et mail proxyként. Egy domain-nel működik is de több domain-t nem tudok beállítani ugyanarra az ip cimre. Azt gondoltam a virtuális hostokhoz hasonlóan a mail szekcióban is tudok majd virtuális hostokat configolni. Az nginx tudja ezt vagy más megoldás után kell néznem?

Köszönöm segítségeteket!

Split Horizon / Port Isolation [mikrotik]

Sziasztok!

 

Előzmény:
A legutóbbi MikroTik MTCWE oktatáson arról beszélt az oktató, hogyha nem akarjuk, hogy lássák egymást a WIFI kliensek, kapcsoljuk ki a "default forwarding" opciót.
Ha 2 WIFI AP van az eszközben, a 2 AP kliensei még láthatják egymást. Erre megoldás Split Horizon, ami elszigeteli egymástól 2 interfészt L2 szinten.

Ötlet:
Ezt nagyobb vezetékes (irodai) hálózatban az access rétegben is meg lehet valósítani büntetlenül?
Tehát minden access switch minden portján bekapcsolom a split horizont azonos horizon értékkel, kivéve az uplink portján.
Így nem látják egymást közvetlenül az irodai számítógépek. Hivatalból nem kell egymást látniuk. Külön VLANban és subnetben lévő szerverekkel beszélgetnek, amit az uplinken keresztül érnek el.

Teszt:
Mikrotik HEX 2 portján azonos horizont beállítottam, megszakadt a ping. Amint eltért a 2 horizon érték vagy nem volt, a ping ment. A tcpdump is igazolta az L2 elszigetelődést.
HW switch chippel rendelkező mikrotikben ez gondolom port isolation funkcióval helyettesíthető.

Cél:
windows a mellette lévő windowst ne buzerálja. Ha bekap az egyik egy crypto vírust, ne fertőzze le valami  sebezhetőséget kihasználva.
A gépek ne fűrkésszék a hálózatot, semmi közük hozzá. Van gateway, menjenek arra, majd az ottani tűzfal policy szabályoz.
Tehát már L2 szinten szeretném elvágni a félrekolbászoló csomagokat a hálózaton.

Ellenérv:
Van bármi? Windowsos kollégák szerint a windows nem fog jól működni. A sajátgép nem fog működni, mert a beragad a hálózatfelderítés során.
Az egész felesleges, mert az AD felé mindenki elmondja, hogy létezik, az AD meg úgy is elmondja mindenkinek, hogy ki vannak a hálózaton.
Sőt, az AD szerver segítségével ki tudják kerülni az egész L2 védelmet, rajta keresztül elérik egymást a kliensek.
Ezeket én nem nagyon tudom hova tenni linuxos fejjel. Kellene egy kis tapasztalat a való életből.

Tudom, hogy a split horizon eredetileg nem erre való. Lehet, hogy túl egyszerűen gondolkozom, de nem alkalmas a fenti feladatra? Ha nem, akkor mi a bevett gyakorlat erre?

ICMP redirect (to another host)

Van egy szolgáltatói routerem, aminek a LAN portján csatlakozik egy másik router ugyanabban a subnetben. ICMP redirectel szeretném megoldani néhány subnet route-olását a szolgáltatói routeren. A szolgáltatói routeren sikerült SSH accesst szereznem és a route-ot hozzáadni (utolsó sor):

# ip route
default via 10.0.0.1 dev ppp0
10.0.0.1 dev ppp0  proto kernel  scope link  src 91.82.130.144
10.49.0.0/17 dev nbif1  proto kernel  scope link  src 10.49.62.15
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1
192.168.10.0/24 via 192.168.1.249 dev br0
 

ilyenkor ugye ha a 192.168.10.0/24 subnetet akarnám elérni egy kliens gépről akkor a routernek kellene küldeni egy ICMP redirectet a másik router cimével, de ez valamiért nem megy. Send_redirects valamiért nem volt a /proc/sys/net/ipv4/conf alatt, úgyhogy azt én hoztam létre kézzel, most igy néz ki:

# cat /proc/sys/net/ipv4/conf/*/send_redirects
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
 

Elképzelhető lenne hogy a kernelbe nem lett beleforgatva vagy valamit még álltani kell? Ez a verzió egyébként

# cat /proc/version
Linux version 2.6.36 (xialei@A10184242) (gcc version 4.3.4 (GCC) ) #1 SMP Fri Dec 11 14:37:52 CST 2015
#
 

Cyberghost VPN Mikrotik

Uraim,

Van egy Mikrotik cAP ac wifis router, amin az lenne a feladat, hogy cyberghost vpn kapcsolatot létrehozva a  vpn-en keresztül menne a forgalom.

Odáig eljutottam, hogy az ipsec kapcsolat összejön, de nem tudom ráterelni a forgalmat.

Van valakinek hasonlóhoz konfigja? Ötlet?

köszönöm

OpenWrt 22.03 ftp probléma

OpenWrt-t futtató router mögött van egy ftp szerverem. Ahhoz hogy kívülről is el lehessen érni, a 21-es port forwardon kívül az alábbi custom szabályt is be kellett állítani:

iptables -t raw -I PREROUTING -p tcp --dport 21 -j CT --helper ftp

Ezt az OpenWrt GUI lementette a /ect/firewall.user file-ba, amit a /etc/config/firewall config meg felnyalt ezzel a sorával:

config include
      option path '/etc/firewall.user'

OpenWrt 21.02.x alatt ez ment is szépen, csak fel kellett tenni a kmod-ipt-nathelper és kmod-ipt-raw csomagokat is.

Azonban OpenWrt 22.03.x alatt már iptables based firewall3 helyett nftables based firewall4 van, nincs iptables parancs, ezért nem megy a fenti custom rule.

A tünet a következő: ftp login lemegy, login / pass megad, elfogadja a helyeset, de utána nem történik semmi, nincs hibaüzenet, csak áll az ftp kliens. (mc beépített)

Keresgéltem, hogy miként lehetne a fenti szabályt nftables-el megoldani, de nem sikerült, ilyen szinten nem értek a hálózat mélységeihez.

Aztán észrevettem, hogy van a firewall beállításnál a forward szabályánál az advanced fülön van egy olyan lehetőség, hogy "Match helper" és egy legördülőből ki lehet választani az "FTP passive connection tracking (FTP)" lehetőséget.

Sajnos, ha ezt beállítom, akkor a forward komplett megszűnik, még telnet-el sem lehet a 21-es portra kapcsolódni. Ha kikapcsolom, akkor a login folyamatig újra megy az ftp, csak utána áll meg.

Tudom, hogy az ftp egy elavult, unsecure, stb. protokoll, de ebben az esetben nem tudom megkerülni.

Tud esetleg valaki megoldást a problémára?

VPN kliensek hálózati elérés

Kedves tagok!

Nekem a problémám az lenne, hogy egy adott portot szeretnék elérni (ssh egyedi portja) elérni wireguard segítségével.

Viszont amikor csatlakozik pl a mobilom vpn-el a szerverhez, semmilyen hálózati forgalom nincs a telefonon.

Azt szeretném elérni, hogy minden forgalom megfelelően működjön, akkor is ha csatlakozik a telefon a vpn-hez.

 

Kliens config:

[Interface]
Address = 10.0.0.2/8,fd00:00:00::2/8
DNS = 1.1.1.1,1.0.0.1,2606:4700:4700::1111,2606:4700:4700::1001
ListenPort = 62781
MTU = 1280
PrivateKey = [ ]
[Peer]
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 1.2.3.4:51820    //szerver ip cím:port
PersistentKeepalive = 25
PresharedKey = [ ]
PublicKey = tmTzelzutQOFFl7l6xO2hQk2zIJajlVC7qzqL8JhPSg=

Szerver konfig

[Interface]
Address = 10.0.0.2/8,fd00:00:00::2/8
DNS = 1.1.1.1,1.0.0.1,2606:4700:4700::1111,2606:4700:4700::1001
ListenPort = 62781
MTU = 1280
PrivateKey = [ ]
[Peer]
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 1.2.3.4:51820    //szerver ip cím:port
PersistentKeepalive = 25
PresharedKey = [ ]
PublicKey = tmTzelzutQOFFl7l6xO2hQk2zIJajlVC7qzqL8JhPSg=

Az 51820 számú port engedélyezve van.

/etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

/etc/ufw/sysctl.conf

net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
net/ipv6/conf/all/forwarding=1

Mit nem csinálok jól? :)

Nézegettem a neten erre fórumtémákat, de én nem találtam meg sajnos a megoldást.

Forgalom továbbítás help

Segítséget kérek a következő feladatban:

Van a felhőben 1db gépem fix ip címmel (PUBLIC_IP), van a telephelyünkön egy gépterem három különböző net kapcsolattal, 3 különböző fix ip címmel (IP_1,IP_2,IP_3).

Hogyan lehetne a PUBLIC_IP-re érkező forgalmat továbbítani elsődlegesen az IP_1-re, de ha nem elérhető akkor az IP_2-re, ha az sem az IP_3-ra? Lehetőleg az 1db admin port kivételével az összes portra.

Próbálkozatm HAproxyval (ha alapvetően a http/https forgalom továbbítható az már 80%os megoldás, és elegendő lehet) de valahol mindíg elakadtam.

Érzésre biztosan van rá hálózati megoldás is (ami valószínűleg elegánsabb is lenne),de nem vagyok annyira otthon a hálózatokban, hogy rájöjjek hogy hogyan vagy hogy hol keresgéljek. 

Tud valaki segíteni?

 

kieg: a telephelyen van 1 db HAproxy server, neki kell eljuttani a teljes forgalmat. A többit elintézi telephelyen belül.

Megoldva! Ubuntu 22.04-re frissítés után két 22.04 között: no route to host. Wan, más local gépek elérhetők.

Kedves Hozzáértők!

Ubuntu 22.04-re frissítés után két 22.04 között nincs kapcsolat: no route to host.

A 192.168.23.100-ról szeretném elérni a 192.168.23.101-t.

Wan, más local gépek elérhetők.

Tűzfal kikapcsolva.

Mindkét gépen van LXD, Docker, az egyiken KVM is.

Tanácsot kérek!

 

Machine-ID és br0 macaddress változtatása megoldotta.

 

~$ ip route
default via 192.168.23.1 dev br0 proto static 
10.11.28.0/24 dev lxdbr0 proto kernel scope link src 10.11.28.1 linkdown 
169.254.0.0/16 dev br-0e45b0917154 scope link metric 1000 linkdown 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 
172.18.0.0/16 dev br-74afd777eb8a proto kernel scope link src 172.18.0.1 linkdown 
172.19.0.0/16 dev br-0e45b0917154 proto kernel scope link src 172.19.0.1 linkdown 
192.168.23.0/24 dev br0 proto kernel scope link src 192.168.23.100 
192.168.208.0/20 dev br-70ff90b3578c proto kernel scope link src 192.168.208.1 
192.168.224.0/20 dev br-b55c641852e0 proto kernel scope link src 192.168.224.1
~$ ip neigh
192.168.224.4 dev br-b55c641852e0 lladdr REACHABLE 
192.168.23.243 dev br0 lladdr  STALE 
192.168.23.113 dev br0 lladdr  REACHABLE 
192.168.23.1 dev br0 lladdr  REACHABLE 
192.168.23.63 dev br0 lladdr  REACHABLE 
192.168.23.221 dev br0 lladdr  STALE 
192.168.23.127 dev br0 lladdr  REACHABLE 
192.168.23.101 dev br0 FAILED 
192.168.224.6 dev br-b55c641852e0 lladdr STALE 

Az IP címek meg vannak változtatva.

Otthoni mobilinternet kérdések, tapasztalatok

Ez a topic elsősorban azokért lett létrehozva, akik még mindig ADSL és hasonló netkapcsolatok végén szenvednek.

Mivel hosszas ígérgetések ellenére évek alatt sem indult el az optikai szolgáltatás (bár a kábel két éve ott lóg, csak sötét :D), ezért a dolgot megelégelve befizetnék egy otthoni mobilinternet csomagra. Voltak már hasonló topicok korábban, de az aktuális helyzet érdekelne mobilinternet fronton.

Egyelőre csak a yettel-nél találtam ilyet. Ők viszont úgy látom elég korrektül kezelik, nincs adatforgalmi korlát, explicit le van írva, hogy még fájlcserélőt is engednek (nem tervezem ilyenre használni) és elvileg 5G is rendelhető (bár a címet megadva csak 4G-t enged). Csak az nincs leírva, hogy milyen IP címet kap az ember.

Első kérdés, hogy más szolgáltatónál van-e valakinek tudomása hasonló csomagról.

Második kérdés - lehet hogy naiv - adnak-e publikus IP-t? Ha azt nem adnak, akkor legalább IPv6 van? Ahonnan elérném, jellemzően szintén van IPv6, így az nem lenne akkora akadály.

Starlink ez utóbbi miatt esik ki (ha az ára nem lenne elég).

Harmadik kérdés: elérhető valós sebesség, stabilitás, késleltetés. GSM torony kb. 1.5 km, közvetlen rálátással.